网络拓扑
网络规划
- 核心SW3-SW4为M-LAG组 G1/0/23-G1/0/24为上联二层聚合口 PVID:100
- 防火墙与核心之间链路聚合 防火上联口G1/0/22至出口路由器
| 设备-接口 | IP地址 | 所在区域 |
|---|---|---|
| FWA-VLANIF100 | 172.16.100.253 | mamg |
| FWA-G0/22 | 172.16.1.6 | untrust |
| SW3-VLANIF100 | 172.16.100.3 | trust |
| CE1-L0 | 172.16.100.1 | untrust |
| CE1-WAN | 111.10.10.2 | untrust |
| CE1-G0/2 | 172.16.1.5 | untrust |
防火墙策略
问题复现
- 出口路由器CE1可以ping通核心交换机SWA且各地址均正常
ping -a 172.16.1.5 172.16.100.3
ping -a 172.16.100.1 172.16.100.3
2. 核心交换机SWA ping不通路由但是能ping通防火墙
ping -a 172.16.100.3 172.16.100.1 // no
ping -a 172.16.100.3 172.16.1.5 // no
ping -a 172.16.100.3 172.16.1.6 // ok
ping -a 172.16.100.3 172.16.100.253 // ok
3. 查看各设备路由表均正常
解决办法
- 更换FWA-VLANIF100地址为trust后正常
